ISO27001認(rèn)證內(nèi)容（二/二）7)訪問控制。制定訪問控制策略，避免信息系統(tǒng)的非授權(quán)訪問，并讓用戶了解其職責(zé)和義務(wù)，包括網(wǎng)絡(luò)訪問控制，操作系統(tǒng)訪問控制，應(yīng)用系統(tǒng)和信息訪問控制，監(jiān)視系統(tǒng)訪問和使用，定期檢測(cè)未授權(quán)的活動(dòng);當(dāng)使用移動(dòng)辦公和遠(yuǎn)程控制時(shí)，也要確保信息安全。 8)系統(tǒng)采集、開發(fā)和維護(hù)。標(biāo)示系統(tǒng)的安全要求，確保安全成為信息系統(tǒng)的內(nèi)置部分，控制應(yīng)用系統(tǒng)的安全，防止應(yīng)用系統(tǒng)中用戶數(shù)據(jù)的丟失，被修改或誤用;通過加密手段保護(hù)信息的保密性，真實(shí)性和完整性;控制對(duì)系統(tǒng)文件的訪問，確保系統(tǒng)文檔，源程序代碼的安全;嚴(yán)格控制開發(fā)和支持過程，維護(hù)應(yīng)用系統(tǒng)軟件和信息安全。 9)信息安全事故管理。報(bào)告信息安全事件和弱點(diǎn)，及時(shí)采取糾正措施，確保使用持續(xù)有效的方法管理信息安全事故，并確保及時(shí)修復(fù)。 10)業(yè)務(wù)連續(xù)性管理。目的是為減少業(yè)務(wù)活動(dòng)的中斷，是關(guān)鍵業(yè)務(wù)過程免收主要故障或天災(zāi)的影響，并確保及時(shí)恢復(fù)。 11)符合性。信息系統(tǒng)的設(shè)計(jì)，操作，使用過程和管理要符合法律法規(guī)的要求，符合組織安全方針和標(biāo)準(zhǔn)，還要控制系統(tǒng)審計(jì)，使信息審核過程的效力發(fā)揮徹底，將干擾降到盡可能低ISO27001備份目標(biāo)：防止數(shù)據(jù)丟失。南京ISO27001標(biāo)準(zhǔn)

ISO27001信息安全管理體系-方針 高層管理者應(yīng)建立信息安全方針，以: a)與組織的宗旨相適用; b)包含信息安全目標(biāo)(見6.2)或?yàn)樾畔踩繕?biāo)提供框架; c)包含滿足適用的信息安全相關(guān)要求的承諾; d)包含信息安全管理體系持續(xù)改進(jìn)的承諾。 信息安全方針應(yīng): e)文件化并保持可用性; f)在組織內(nèi)部進(jìn)行傳達(dá); g)適當(dāng)時(shí)提供給相關(guān)方。5.3組織角色、職責(zé)和權(quán)限 高層管理者應(yīng)確保分配并傳達(dá)了信息安全相關(guān)角色的職責(zé)和權(quán)限。 高層管理者應(yīng)分配下列職責(zé)和權(quán)限: a)確保信息安全管理體系符合本標(biāo)準(zhǔn)的要求; b)將信息安全管理體系的績(jī)效報(bào)告給高層管理者。 注:高層管理者可能還要分配在組織內(nèi)部報(bào)告信息安全管理體系績(jī)效的職責(zé)和權(quán)限。上海ISO27001證書ISO27001認(rèn)證工作不是企業(yè)的信息安全部或某一個(gè)部門的責(zé)任，而是需要全公司所有部門的共同配合與參與。

ISO27001信息安全管理體系中，組織應(yīng)定義并應(yīng)用信息安全風(fēng)險(xiǎn)處置過程，以:a)在考慮風(fēng)險(xiǎn)評(píng)估結(jié)果的基礎(chǔ)上，選擇適合的信息安全風(fēng)險(xiǎn)處置選項(xiàng):b)確定實(shí)現(xiàn)已選的信息安全風(fēng)險(xiǎn)處置選項(xiàng)所必需的所有控制;c)將613b)確定的控制與附錄A中的控制進(jìn)行比較，并驗(yàn)證沒有忽略必要的控制;d)制定一個(gè)適用性聲明，包含必要的控制[見613b)和c)]及其選擇的合理性說明(無論該控制是否已實(shí)現(xiàn))，以及對(duì)附錄A控制刪減的合理性說明;e制定正式的信息安全風(fēng)險(xiǎn)處置計(jì)劃;f)對(duì)信息安全風(fēng)險(xiǎn)處置計(jì)劃以及對(duì)信息安全殘余風(fēng)險(xiǎn)的接受的批準(zhǔn)。組織應(yīng)保留有關(guān)信息安全風(fēng)險(xiǎn)處置過程的文件化信息。

ISO27001信息安全管理體系中的PDCA模型 -Plan：建立ISMS 定義ISMS的范圍 定義ISMS 策略 定義系統(tǒng)的風(fēng)險(xiǎn)評(píng)估途徑 識(shí)別風(fēng)險(xiǎn) 評(píng)估風(fēng)險(xiǎn) 識(shí)別并評(píng)價(jià)風(fēng)險(xiǎn)處理措施 選擇用于風(fēng)險(xiǎn)處理的控制目標(biāo)和控制 準(zhǔn)備適用性聲明(SoA) 取得管理層對(duì)殘留風(fēng)險(xiǎn)的承認(rèn)，并授權(quán)實(shí)施和操作ISMS DO：實(shí)施和運(yùn)行ISMS 制定風(fēng)險(xiǎn)處理計(jì)劃 實(shí)施風(fēng)險(xiǎn)處理計(jì)劃 實(shí)施所選的控制措施以滿足控制目標(biāo) 實(shí)施培訓(xùn)和意識(shí)程序 管理操作 管理資源 實(shí)施能夠激發(fā)安全事件檢測(cè)和響應(yīng)的程序和控制 CHECK：監(jiān)控和評(píng)審ISMS 執(zhí)行監(jiān)視程序和控制 對(duì)ISMS的效力進(jìn)行定期復(fù)審 復(fù)審殘留風(fēng)險(xiǎn)和可接受風(fēng)險(xiǎn)的水平 按照預(yù)定計(jì)劃進(jìn)行內(nèi)部ISMS審計(jì) 定期對(duì)ISMS進(jìn)行管理復(fù)審 記錄活動(dòng)和事件可能對(duì)ISMS的效力或執(zhí)行力度造成影響 ACT：保持和改進(jìn)ISMS 對(duì)ISMS實(shí)施可識(shí)別的改進(jìn) 采取恰當(dāng)?shù)募m正和預(yù)防措施 與所有利益伙伴溝通 確保改進(jìn)成果滿足其預(yù)期目標(biāo)所有通過認(rèn)證且合法的ISO27001證書均可在認(rèn)監(jiān)委CNCA的網(wǎng)站上進(jìn)行查詢。

1950年W.EdwardsDeming提出ISO27001信息安全管理體系-PDCA流程，即計(jì)劃（Plan）－執(zhí)行（Do）－檢查（Check）－提升（Act）過程，意在說明業(yè)務(wù)流程應(yīng)當(dāng)是不斷改進(jìn)的，該方法使得職能部門經(jīng)理可以識(shí)別出那些需要修正的環(huán)節(jié)并進(jìn)行修正。這個(gè)流程以及流程的改進(jìn)，都必須遵循這樣一個(gè)過程：先計(jì)劃，再執(zhí)行，而后對(duì)其運(yùn)行結(jié)果進(jìn)行評(píng)估，緊接著按照計(jì)劃的具體要求對(duì)該評(píng)估進(jìn)行復(fù)查，而后尋找到任何與計(jì)劃不符的結(jié)果偏差（即潛在改進(jìn)的可能性），向管理層提出如何運(yùn)行的報(bào)告。ISO27001網(wǎng)絡(luò)安全管理目標(biāo)：確保網(wǎng)絡(luò)中信息的安全性并保護(hù)支持性信息處理設(shè)施。鎮(zhèn)江通訊業(yè)ISO27001認(rèn)證過程

ISO27001是以信息資產(chǎn)及業(yè)務(wù)風(fēng)險(xiǎn)管理為中心的管理體系。南京ISO27001標(biāo)準(zhǔn)

1、互聯(lián)網(wǎng)：I5027001能夠保障這類企業(yè)重要信息的保密性、完整性及可用性，通過一系列安全防范措施的具體落實(shí)，解決互聯(lián)網(wǎng)企業(yè)的在信息管理方面的后顧之憂。2、信息通訊：特別是一些大型的通信設(shè)備提供商，出于對(duì)于自身技術(shù)優(yōu)勢(shì)的保護(hù)心態(tài)，對(duì)信息安全更是非常重視。實(shí)施信息安全管理體系也就成了這些企業(yè)必然的選擇。3、電子商務(wù)：因交易平臺(tái)、支付平臺(tái)之類對(duì)個(gè)人信息調(diào)取使用頻繁，導(dǎo)致行業(yè)內(nèi)對(duì)隱私信息的安全儲(chǔ)存管理的要求日益嚴(yán)格，電子商務(wù)相關(guān)企業(yè)投入更多精力建設(shè)完善。4、生產(chǎn)制造：芯片、半導(dǎo)體制造產(chǎn)業(yè)及與生產(chǎn)行業(yè)緊密關(guān)聯(lián)的能源產(chǎn)業(yè)，對(duì)信息安全認(rèn)證的看重越發(fā)明顯:不僅是國(guó)內(nèi)外客戶的安全要求，更來自對(duì)自身技術(shù)優(yōu)勢(shì)的高效保障。5、金融保險(xiǎn)：將數(shù)字視為生命線，自然也要牢牢把握信息安全的風(fēng)險(xiǎn)紅線。一直以來，金融和保險(xiǎn)行業(yè)為保障業(yè)務(wù)運(yùn)轉(zhuǎn)的可靠性和持續(xù)性，始終在尋求信息安全相關(guān)認(rèn)證的驅(qū)動(dòng)力。

南京ISO27001標(biāo)準(zhǔn)